Защита персональных данных и ISO / IEC 27701:2019

На фоне громких событий с утечкой персональных данных государства начали законодательно закреплять требования к защите такой информации. Результатом возросшего интереса к защите персональных данных стал разработанный и опубликованный в августе 2019 года Международный стандарт ISO/IEC 27701:2019 «Методы безопасности – Управление конфиденциальной информацией (расширение для ISO/IEC 27001 и ISO/IEC 27002)».

Разработке данного формата предшествовали такие законодательные инициативы как GDPR (Общее положение о защите персональных данных) в Европейском союзе и ФЗ-152 «О персональных данных» в России. Эти документы регулируют требования к защите персональных данных компаниями, которые с ними работают.

Напомним, что под персональными данными в общем смысле принято понимать личные данные физического лица, такие как информация о номере документа, номер телефона, возраст, пол, политические взгляды, информация о болезнях и здоровье, биометрические данные и т.д.

В век информационных технологий, когда персональные данные людей собираются компаниями, для формирования клиентской базы и/или для формирования прогноза потребительского спроса и т.д., проблема сохранности информации приобретает новый вес. Чтобы далеко не ходить за примерами, можем рассмотреть нашего «ручного шпиона», который всегда с нами – мобильный телефон. Данный прибор обладает данными о наших банковских счетах, наших расходах, он владеет нашими биометрическими данными и т.д.

Но что будет если эти данные попадут в руки злоумышленника, который может, воспользовавшись ими: похитить денежные средства с банковских счетов или обмануть близких людей с целью получения денежных средств. Информацию о таких ситуациях вы могли встречать на просторах сети интернет.

Новый стандарт ISO/IEC 27701:2019 закрепляет лучшие международные практики и требования к системе управления конфиденциальной информацией (PIMS) и расширяет стандарты Систем менеджмента информационной безопасности ISO/IEC 27001 и ISO/IEC 27002. Документ регулирует весь процесс работы с персональными данными от приема и обработки до хранения и утилизации. Стандарт был разработан подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита персональных данных».

Важность внедрения надежной системы обработки и хранения персональных данных не вызывает сомнения. Кроме сохранности имиджа компании, утечка персональных данных в России приведет к большим денежным штрафам. Однако до сих пор мало компаний уделяют серьезное внимание работе с персональными данными и их защите.

Грамотная работа с персональными данными должна прививаться в корпоративной культуре организации, стремящейся к уровню европейских компаний, которые уважают данные своих клиентов. Только лишь страх перед штрафами не изменит подхода к данной проблеме у компаний из сегмента малого и среднего бизнеса.

Наша команда может помочь в разработке системы управления конфиденциальной информацией как в соответствии с ФЗ-152, так и в рамках GDPR. Первым шагом к управлению конфиденциальными данными для организации должно стать осознание данной потребности и уважение клиентов и их персональных данных.